1.信息收集

image

到其官网门户查看了一圈 未发现系统链接 ip为阿里云

image

通过谷歌语法查询其公司系统资产发现一套gprs系统

image

访问发现其ip 为真实ip 而且开放了大量端口

image

对gprs系统真实ip进行全端口扫描继续收集信息 很幸运发现大量其公司资产

image

对收集的资产进行初步分析与查看发现一个 web server服务包含大量查询接口

image

初步判断这些接口大概率存在sql注入

2.漏洞利用

image

使用Netsparker 对其http://xx.xx.xx.xx/service1.asmx?WSDL 文件进行针对sqlserver 数据库的扫描

果不其然大量接口存在 sql注入

image

image

手动测试用户为sa后 拉出神器sqlmap 直接 –os-shell一把梭

image

直接查找网站路径准备写入一句话木马拿shell

途中出了一点意外 都是由于太菜在找网站绝对路径上整了 半个多小时- -

在D盘 发现大量web应用文件夹 这也让我直接认定了网站在D 盘

再加上我 dir e:\ f:\ g:\ 都没有发现分区就造成了本次再找路径上浪费了大量时间 - -

直接在D盘搜索网站根目录下的service1.asmx 文件出来一堆路径只能挨个试

image

然后就是一顿echo echo echo… 直到尝试完最后一个 都是404

image

然后怀疑是不是站库分离 netstat 看了眼 发现不存在分离 顺带还发现服务器对外开了一个 8040端口

image

对应信息收集时收集的资产 发现还有一套网站在这个服务器

image

又来了兴致 直接搜索这个网站的路径 进行写入测试

image

结果一线的404 - -

image

这时才想起是不是搞错盘了 直接列出机器所有盘符

    wmic logicaldisk where drivetype=3 get deviceid

image

黑人问号?

image

这管理员真会分 然后就是找到路径写入一句话 顺利的拿下一个.aspx 的低权限shell

————被自己前面的**操作蠢哭

image

3.简单提权与进入内网

3.1 简单提权

image

在拿到shell后 翻看目录时发现有个 tomcat 立马想到了一遍 tomcat搭建的权限会比较高

netstat 看到一个8086端口 不知道为什么前面没看到 可能瞎了 访问确定存在 tomcat

image

image

找到conf 目录下的 tomcat-users.xml 文件查看明文密码

image
image

然后就是进入后台 部署war包了 成功获取到一个jsp的shell 成功获取到 管理员权限shell

image

3.2 进入内网

image

这里我用到 reGeorg 与 SocksCap64 的搭配

上传reGeorg 中的 jsp脚本到网站目录

image

访问脚本 出现 Georg says, ‘All seems fine’ 说明可用

image

使用reGeorg连接 脚本

    python xx.py -u 脚本地址
    

可看到已成功开启代理到本地8888端口

image

打开第二个工具 SocksCap64 进行地址与代理 端口与类型设置

image

把需要在目标内网环境运行的程序拖入

image

发现未开启3389 使用cmd开启

    开启RDP : REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
    查询端口 : REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

添加 用户

    添加用户               :net user xxx xxx /add
    添加进administrators  :net localgroup administrators xxx /add

软件内打开远程桌面 连接目标机器内网地址 登录添加的用户

image

然后就是抓取管理员明文密码 收集浏览器缓存密码 收集网站数据库明文密码 扫描内网web应用进行测试 扫描ms17010等windos漏洞 等等了 由于客户叫停不再继续

大佬不要喷我 image